Was ist ein Protokoll-DDoS-Angriff?

Im Gegensatz zu Distributed-Denial-of-Service-Angriffen (DDoS) auf der Anwendungsebene und volumetrischen DDoS-Angriffen beruhen DDoS-Angriffe auf Schwachstellen in Internet-Kommunikationsprotokollen. Da viele dieser Protokolle weltweit verwendet werden, ist eine Änderung ihrer Funktionsweise kompliziert und lässt sich nur sehr langsam einführen. Darüber hinaus bedeutet die inhärente Komplexität vieler Protokolle, dass selbst dann, wenn sie überarbeitet werden, um bestehende Schwachstellen zu beheben, häufig neue Schwachstellen eingeführt werden, die neue Arten von Protokoll- und Netzwerkangriffen ermöglichen.

Erkennung von Protokoll-DDoS-Angriffen

Die Erkennung von DDoS-Angriffen auf Protokolle erfordert eine eingehende Überwachung der Kommunikationsströme und eine Analyse der Abweichungen von den erwarteten Standards.

Beispiele für Protokoll-DDoS-Angriffe

Border Gateway Protocol (BGP)- Hijacking ist ein gutes Beispiel für ein Protokoll, das die Grundlage für einen DDoS-Angriff bilden kann. BGP wird von Netzbetreibern verwendet, um anderen Netzen mitzuteilen, wie ihr Adressraum konfiguriert ist. Wenn es einem böswilligen Akteur gelingt, eine BGP-Aktualisierung zu senden, die als authentisch gilt, kann der für ein Netz bestimmte Datenverkehr an ein anderes Netz weitergeleitet werden, was zu einer Erschöpfung der Ressourcen und zu Staus führen kann. Da BGP von Zehntausenden von Netzbetreibern auf der ganzen Welt genutzt wird, wäre eine Aufrüstung auf eine sicherere Version des Protokolls sowohl kompliziert als auch sehr teuer in der Umsetzung. Weitere Beispiele für Protokollangriffe sind SYN-Flood und Ping of Death.

Reale Protokoll-DDoS-Angriffe

Leider sind Protokollangriffe nicht groß genug, um in die Nachrichten zu gelangen, so dass es schwierig ist, gute Beispiele zu finden. Darüber hinaus werden Protokoll-DDoS-Angriffe nicht aufgrund ihrer Größe als erfolgreich eingestuft, sondern aufgrund der Häufigkeit und Dauer des Angriffs. Eines der seltenen Beispiele für einen Protokoll-DDoS-Angriff ereignete sich 2018, als Hacker BGP-Hijacking nutzten, um den für MyEtherWallet, einen Dienst zur Verwaltung von Ethereum-Kryptowährungskonten, bestimmten Datenverkehr auf russische Server umzuleiten, die eine gefälschte Version der Website präsentierten. Der Angriff dauerte etwa zwei Stunden und diente als Deckmantel für den Diebstahl des Inhalts von Kryptowährungs-Geldbörsen. The Verge berichtete:

Beim Herstellen einer Verbindung zu dem Dienst wurden die Nutzer mit einem nicht signierten SSL-Zertifikat und einem fehlerhaften Link in der Verifizierung der Website konfrontiert. Das war ungewöhnlich, aber es ist die Art von Dingen, durch die Webnutzer routinemäßig klicken, ohne nachzudenken. Aber jeder, der auf diese Zertifikatswarnung klickte, wurde zu einem Server in Russland umgeleitet, der dann die Geldbörse des Benutzers leerte. Den Aktivitäten in der Geldbörse nach zu urteilen, scheinen die Angreifer innerhalb von zwei Stunden mindestens 13.000 Dollar in Ethereum erbeutet zu haben, bevor der Angriff abgebrochen wurde. Die Wallet der Angreifer enthält bereits mehr als 17 Millionen Dollar in Ethereum.

Wie A10 zum Schutz vor Protokoll-DDoS-Angriffen beitragen kann

A10 Defend bietet eine ganzheitliche DDoS-Schutzlösung, die skalierbar, wirtschaftlich, präzise und intelligent ist und Kunden dabei hilft, optimale Benutzer- und Teilnehmererfahrungen zu gewährleisten. Die DDoS-Minderungslösungen von A10 sind für den Einsatz in Unternehmen und bei Service Providern konzipiert und bieten im Vergleich zu herkömmlichen Netzwerkanbietern 10- bis 100-mal niedrigere Kosten pro Teilnehmer und sind sowohl in Hardware- als auch in Software-Formfaktoren erhältlich.